“以賽促學”模式在“網絡安全攻防技術”課程教學中的應用

摘要：當前時代背景下，國家提出了關于新時代教育事業發展的新理念。在此指導下，目前國內高校都在積極探索人才培養機制、培養模式等方面的改革。“以賽促學”應用于中等職業學校的教學中．其在培養學生的動手能力、綜合應用能力、激發學生學習興趣、調動教師工作積極性等方面都起到了很好的促進作用。文章以“網絡安全攻防技術”課程為例，研究以培養應用型人才為目的的中職院校如何將“以賽促學”模式引入“網絡安全攻防技術”課程教學。

關鍵詞：以賽促學；網絡安全；教學模式

中圖法分類號：TP393 文獻標識碼：A

當前的中職教育按照“職業標準”與“關鍵技能”的規定，將相關的專業規范與專業能力需求納入培養目標中，對課程進行了設計。通過增加競賽內容，結合學生特點，制訂適合企業需要的課程內容［１］ 。在教學中加入實踐性的內容，以滿足學生的個性化學習需要，使每一個人都能獲得知識。通過將教學與技能競賽相結合，以提高教學質量，從而為企業培養出更多、更好、更專業以及更適合于企業發展需要的計算機網絡專業人才。同時，計算機網絡產業正處在快速成長的時期，透過競賽的方式，讓學生能夠及時地掌握產業動態與工作動向。本文以“網絡安全攻防技術”為案例，從實操競賽和理論競賽２ 個方面來進行“以賽促學”教學模式的設計［２］ 。

１ “網絡安全攻防技術” 課程實操競賽設計

以“網絡安全攻防技術”課程內容中的“ＳＱＬ 注入漏洞利用與防御”任務為例，來進行任務設計。

１．１ 制定教學目標

１．１．１ 知識目標

掌握ＳＱＬ 滲入式攻擊的基礎知識；了解ＳＱＬ 滲入式攻擊的基本原理；掌握ＳＱＬ 滲入式攻擊的具體流程；學習ＳＱＬ 滲入式攻擊的防護技巧。

１．１．２ 能力目標

了解ＳＱＬ 滲入式攻擊的基本思路；掌握通過ＳＱＬ注入滲透式攻擊獲取信息；了解如何預防ＳＱＬ 注入滲透式攻擊網站的對策。

１．１．３ 核心價值觀

加強對信息化建設的掌控；保障網絡安全的攻防能力。

１．２ 設計教學過程

１．２．１ 課題導入

任務場景：通過對企業網站的安全性檢測，發現該站點存在ＳＱＬ 注入漏洞，易被黑客入侵，從而造成數據庫信息的泄露。為了更好地了解和解決這個問題，使用ＤＶＷＡ 來重現場景。

競賽目標：了解ＳＱＬ 滲入式攻擊的基本原理；掌握ＳＱＬ 滲入式攻擊的具體實施流程；學習ＳＱＬ 滲入式攻擊的防護技巧。

１．２．２ 賽前準備

課堂ＳＱＬ 注入滲透測試和安全防護競賽內容。

（１）競賽項目一：知識答辯比賽的主要內容有：ＳＱＬ 注入的滲透攻擊；ＳＱＬ注入滲透式攻擊的一般思想；如何阻止ＳＱＬ 注入滲入式攻擊。

比賽規則：參賽選手按照賽前所準備的３ 個問題，選出１ 個問題，搜集材料，并將其制作成展示報告。評委收集了學生的發言，然后根據他們的回答和思考方式，給他們打分。

（２）競賽項目二：基礎實訓比賽項目有：ＤＶＷＡ 滲透示范系統的安裝與部署；把ＤＶＷＡ 滲透展示系統的安全性設為“ Ｌｏｗ（低）”。

比賽規則：考生自行完成比賽，完成比賽的成績將以截屏的形式保存到考卷中。評委會根據評分表格來給他們打分。

１．２．３ 團隊商討

團隊成員比賽的預備程序：學習ＳＱＬ 注入攻擊的歷史，形成原因，了解ＳＱＬ 注入漏洞的危害；理解ＳＱＬ注入攻擊的一般思路，以及如何利用ＳＱＬ 注入的弱點進行攻擊；掌握ＳＱＬ 注入攻擊的基本思想和方法，以達到防范ＳＱＬ 注入攻擊的目的；構建ＤＶＷＡ 滲透展示系統，并應用該系統對ＳＱＬ 滲透注入進行試驗；把ＤＶＷＡ 滲透式展示系統的安全性設置為“低”，這樣就可以使用ＳＱＬ 注入式滲透測試來獲取目前的連接；通過ＤＶＷＡ 系統，可以獲取當前的用戶權限，獲取當前數據庫的版本信息，獲取ＤＶＷＡ 數據庫中的表格，查看用戶表中的列，獲取數據庫中的所有賬戶和密碼；對級別為“Ｌｏｗ （低）”的ＤＶＷＡ 網站源代碼進行分析，并對其產生的ＳＱＬ 注入問題進行分析；解決競賽中的問題，為班級競賽做好準備。

１．２．４ 成果展示與競賽

每位學生按照“知識答辯”模塊所選內容，分別進行現場答辯，每名答辯時間為３ ～５ 分鐘；按照“基礎實訓”模塊的要求，每位學生建立ＤＶＷＡ 滲透示范系統，并設定了“Ｌｏｗ （低）”的安全等級；每１ 個小組，都會根據比賽中的“團隊合作”單元，進行分工，在“團體合作”模塊中，共同完成６ 道題，并根據競賽規則，將競賽成績提交；競賽結束后，根據評分系統對競賽的結果進行評估，并給出各小組和個人的得分，并獎勵優秀的團隊和個人。

１．２．５ 課后總結

ＳＱＬ 注入的思想是：對ＳＱＬ 注入點的發現；定義企業服務器的分類和后臺管理數據庫的分類； ＳＱＬ 注入攻擊根據服務器特點和數據庫技術特點來進行。

ＳＱＬ 注入是當今ＰＨＰ 應用軟件中最為普遍的一個問題。若開發人員同時犯２ 次錯誤，則會導致ＳＱＬ注入攻擊：未過濾輸入數據；未將傳送至資料庫的數據轉義（轉義輸出）。這２ 個重要的錯誤都是必須要注意的，這可以降低ＳＱＬ 注入攻擊程序中的缺陷。

為了防止ＰＨＰ 站點出現ＳＱＬ 注入的問題，可以采取以下幾種方法。

更改接收方法：更改接收模式，采用Ｃｏｏｋｉｅ 和Ｐｏｓｔ 兩種提交模式，Ｃｏｏｋｉｅ 和Ｐｏｓｔ 都是在數據庫中提交，不允許黑客進入，從而避免ＳＱＬ 語句的惡意查詢；使用ｍｙｓｑｌｉ 的ｐｒｅｐａｒｅ 語句，使用１ 個參數化的查詢語句，將這些ＳＱＬ 語句從數據庫服務器中分離出來，從而使攻擊者無法向ＳＱＬ 中輸入惡意ＳＱＬ；使用ＰＤＯ來解決ＳＱＬ 注入， 在ｐｈｐ５． ３． ６ 以后， ＰＤＯ 不會向ｍｙｓｑｌｓｅｒｖｅｒ 發送本地ＳＱＬ 程序及語句，也不會在本地進行轉義。

１．２．６ 項目鞏固與提高練習

主要包括：在“安全級別”為“Ｈｉｇｈ （高）”的情況下，查看當前連接的數據庫名稱、用戶權限、版本信息，查看ｄｖｗａ 數據庫里面的表，獲得該網站數據庫中的全部賬號與密碼。

１．３ 課程項目評價體系

根據競賽知識點、競賽規則、評分規則等，結合技術規程、評分細則等，對課堂進行評估［３］ ，主要內容有前期準備、賽項完成情況、團隊合作情況、產品展示等。同時，作為裁判的學員，根據裁判員的規則進行評分。參加評判員的學生從裁判的視角，觀察到其他學生的工作情況，并指出哪些方面有待提高。根據學生在課堂競爭中的表現，結合課堂教學各個方面的因素，設計出一套適合自己的班級評估系統。

１．４ 項目設計要點

１．４．１ 明確教學任務和教學要求在教學全過程中，采用“以賽促學”的教學方式，在課題導入、賽前準備、團隊討論等環節，指導學生有針對性、系統地學習，所以在設計教學開始時應從教學目標、教學內容等方面進行明確。

在準備“ＳＱＬ 注入滲入式測試與安全保護”的競賽中，教師首先對ＳＱＬ 注入漏洞的危害、ＳＱＬ 注入的安全性，以及造成的負面影響進行簡要的講解，使學生能夠大致理解ＳＱＬ 注入的漏洞，并將其引入教學中。

在比賽前的準備與小組討論階段，教師會把比賽的題目發給學生，同時會給他們提供一些基礎的學習材料，推薦一些學習方法。在學習過程中，學生能夠自主探究，小組合作解決問題。

在知識答辯環節，每位學生都要做好準備，回答評委的提問。在此階段，學員不但要學習所學的知識與內容，更要將所學的知識與內容加以歸納、總結，從中提煉出最有用、最重要的部分，再以最恰當的方式向評委解釋，這是一個非常好的練習方式。

在競賽階段，學員要按照自己所掌握的專業知識來完成作業，在競賽中要合理地安排競賽時間，在小組協作中，要協調小組成員，分工協作，以最大限度地提高工作效率。

在教師的總結部分，教師歸納大賽中的重點和難點，并就賽前準備、團隊協商、成功展示等各個階段的問題進行剖析，以及在各個階段中的突出表現。同時，還會公布比賽的成績，讓學生在比賽中分享自己的經驗。

１．４．２ 充分發揮教師的指導作用

不管什么教學模式、教學方法，都以提高學生的學習效率為首要目標。將課堂還給學生，讓學生真正地成為課堂的主體，教師將課堂教學轉化為課堂教學，通過課題導入、課堂競賽、指導學生做好賽前準備、指導學生協調小組成員之間的關系、分配小組成員的工作、做好課堂競賽的準備、保證學生的學習。

在學生碰到問題時，適時提出問題的解法，并鼓勵他們自己去做，遇到特別難的問題時，教師會帶領學生共同討論和解決。

在設計競賽題目時，要注重題目的難度，要針對學生的學習狀況、學習能力和教學目的，設計出合適的競賽題目，使學生能夠在比賽中應用自己的能力和團隊精神來解決問題。

２ “網絡安全攻防技術” 課程理論競賽設計

“網絡安全攻防技術”是一門實踐性較強的專業課程，在各章節的教學設計與教學實踐中，要使競賽項目與課程的教學目標和內容相結合，并以實踐為指導。但是，由于該方法并不能很好地反映出學生的理論水平，因此，在教學設計中增加了“理論競賽”的概念和設計。

２．１ 制定教學目標

２．１．１ 知識目標

了解網絡安全的基本知識；了解滲透測試的定義、分類，以及滲透的基本過程；熟悉網絡滲透測試常用術語、常用的網絡滲透測試工具；了解ＳＱＬ 注入的歷史，形成原因，使用方法，以及ＳＱＬ 注入的危害；了解跨站腳本漏洞的發展歷史，形成原因，利用方式，以及ＸＳＳ 漏洞的危害。

２．１．２ 能力目標

了解網絡入侵的一般思路；掌握網絡入侵的方法；了解如何預防滲透入侵網站漏洞。

２．１．３ 核心價值觀

加強對信息化建設的掌控；保障網絡安全的攻防能力。

２．２ 設計教學過程

２．２．１ 賽前準備

“網絡安全攻防技術”理論競賽內容如下。

（１）競賽項目一：理論知識搶答競賽內容舉例（隨機抽取的１０ 個題目）：題目１：什么是網絡安全？ 什么是滲透測試？ 題目２：滲透測試的分類， 以及它們的區別； 題目３： 什么叫ＷｅｂＳｈｅｌｌ？ 題目３：……

２．２．２ 團隊商討

小組隊員比賽的預備階段：依據比賽的知識點，找出與比賽有關的知識，并能有效地總結和掌握有關知識；小組成員按照本課程的題庫體系，共同對相關知識進行整理；在“理論知識競賽”項目之前，確定答題人選，并組織小組成員進行排練。

２．２．３ 理論競賽評價體系

在完成“理論知識搶答”的這一部分后，教師會根據學生的回答數量和回答結果，給予全班學生一個統一的得分。每個學生在完成了“理論知識競賽”的比賽后，所有學生都獲得了各自的分數。最后，“理論競賽”的分數分為“理論知識搶答”和“理論知識競賽”２個環節，各占５０％。

２．２．４ 課后總結

教師根據“理論知識搶答”環節中出現的錯誤進行糾正，并對不正確的問題進行補充，使學生能夠更好地理解和掌握這些問題。同時，教師針對“理論知識競賽”部分出現的錯誤率高的問題進行統一解釋，使學生能夠更好地理解知識。

２．３ 課程評價體系

“網絡安全攻防技術”課程競賽，主要包括“ＳＱＬ 注入漏洞的使用與防御”“跨站腳本漏洞的使用和防御”

“其他常見Ｗｅｂ 漏洞的利用與防御”和“Ｗｅｂ 滲透案例”４ 個方面的內容。“以賽促學”中的理論知識競賽，覆蓋了整個課程的相關理論。課程評估系統是以學員參加各種實操競賽和理論知識競賽為基礎的。

３ 結束語在

“以賽促學”的教學模式下，一方面通過以“項目驅動”的形式開展培訓，組建了專業導師與得獎者共同協作的“課程項目培訓團隊”，讓學員自主選擇學習的內容，并在教師的引導下，使自己的專業技術更為“嫻熟”，擁有“一技之長”，以適應市場的需要。同時，使職業教師能夠更好地與各種技能競賽相結合，不斷豐富自己的專業技術，使其在教學中更具針對性、前瞻性，從而能夠指導學生培養創造性、團隊協作能力和現場表現能力等，最終實現“以競賽促進教育”的目的。

參考文獻：

［１］ 何金鳳，陳蓉，陳善利，等．以賽促學模式下信息安全技能型人才的培養［Ｊ］．網絡空間安全，２０２０，１１（３）：８１?８４．

［２］ 原晨冉．基于“以賽促學”理念的中職計算機專業實踐教學研究［Ｄ］．新鄉：河南科技學院，２０２２．

［３］ 李麗蓉．網絡安全與執法專業“教學練戰”一體化教學模式研究［Ｊ］．山西警察學院學報，２０２２，３０（３）：１０８?１１１．

作者簡介：王德厚（ １９８２—）， 本科， 高級講師， 研究方向： 計算機技術。